微軟警告駭客還在覬覦Exchange Server

2023-05-12

微軟警告企業和IT管理員，駭客仍然在尋找並入侵尚未修補漏洞的Exchange伺服器，呼籲用戶儘速更新Exchange伺服器軟體。

微軟指出，濫用未修補Exchange伺服器的攻擊者從未遠離。未修補的本地部署Exchange環境有太多方面是攻擊者下手的好目標。一來，郵件信箱有許多重要及敏感資料。二來，每個Exchange伺服器都有公司聯絡人資料，蘊藏大量社交工程攻擊的資訊。第三，Exchange和Active Directory和混合環境整合密切，擁有許多核准權限，也可存取雲端環境。

為防範Exchange伺服器的已知漏洞遭到濫用，微軟呼籲企業及Exchange伺服器管理員安裝最新己支援的累積更新，及最新的安全更新。目前Exchange Server 2013、2016最新累積為CU23，2019最新累積更新為CU12。最新安全更新則為2023年1月（Patch Tuesday）。由於累積更新和安全更新都是累積性的，用戶只需安裝最新版本即可。

不過安裝完更新後，管理員還是有很多地方需要手動執行，微軟建議管理員最好執行Health Checker，這功能可提供連向步驟化指引的文章。此外，微軟提醒管理員，有時微軟透過自動化的Exchange緊急緩解服務（Exchange Emergency Mitigation Service）或手動的Exchange本地部署緩解工具釋出的緊急修補程式，這些只能提供部份防護，因此用戶還是必須安裝安全更新以求完備防護。

安全研究人員不斷發現微軟Exchange Server的漏洞，從2021年初的ProxyLogon（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065）、同年7月的ProxyShell（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207），到去年9月的ProxyNotShell漏洞（CVE-2022-41082、CVE-2022-41040），都成為各路國家駭客及犯罪組織、勒索軟體濫用的目標。今年初安全研究人員發現，全球仍有6萬多臺Exchange Server伺服器尚未修補。

（相關資訊來自iThome）